Il tuo PC è infestato da bot? Ecco come dire

Mentre i fuochi d'artificio esplodevano il quattro di luglio, migliaia di computer compromessi hanno attaccato i siti Web del governo degli Stati Uniti. Una botnet di oltre 200.000 computer, infettati da un ceppo del virus MyDoom del 2004, ha tentato di negare l'accesso legittimo a siti come quelli della Federal Trade Commission e della Casa Bianca. L'assalto era un coraggioso promemoria sul fatto che le botnet continuano a rappresentare un problema enorme.

Le botnet sono reti illegali di PC "zombi" compromessi. La tua macchina può essere infettata se visiti un sito e scarica il codice contaminato travestito da un video, se visiti un sito che è stato compromesso o se un virus tradizionale o altro malware entra nel tuo sistema. Una volta che un bot infetta il PC, richiama il proprio server Command-and-Control (CnC) per le istruzioni. Un bot è simile a un cavallo di Troia tradizionale; ma piuttosto che installare semplicemente un keylogger o un ladro di password (che potrebbe comunque fare comunque), un bot funziona con altri PC infetti, costringendoli tutti ad agire insieme, in un certo senso come un grande computer.

Gli spammer pagano in grande soldi per avere un bot che fa esplodere il loro messaggio a migliaia di macchine; in particolare, lo spam farmaceutico canadese è grande al momento. Altri usi per i bot includono attacchi che bloccano i siti Web commerciali, spesso associati a una richiesta di riscatto. Il business rapido esiste anche in quello che viene chiamato flusso veloce: Per mantenere attivi i siti Web di phishing, gli operatori cambiano frequentemente i domini. Le botnet forniscono un mezzo facile e veloce per farlo e, secondo la società di sicurezza Kaspersky, i proprietari di botnet fanno pagare un sacco di soldi per quel servizio.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

A luglio, la ShadowServer Foundation, un gruppo specializzato nella condivisione di informazioni sulle botnet, ha riferito che il numero di botnet identificate è cresciuto da 1500 a 3.500 negli ultimi due anni. Ciascuna di queste 3500 reti potrebbe contenere diverse migliaia di PC compromessi e qualsiasi PC potrebbe essere infettato da più robot.

Nei numeri grezzi, gli Stati Uniti e la Cina sono le case della maggior parte delle macchine infette da bot, afferma Jose Nazario, responsabile della ricerca sulla sicurezza di Arbor Networks. "Penso che sia molto sicuro per la maggior parte degli utenti di PC assumere che fanno parte di una botnet", dice. "È un Internet molto pericoloso per la maggior parte della gente."

Rilevamento delle infezioni

Le botnet vivono o muoiono a seconda delle comunicazioni con i loro server CnC. Quelle comunicazioni possono dire ai ricercatori quanto è grande una botnet. Allo stesso modo, il flusso di comunicazioni in entrata e in uscita del PC aiuta le app antimalware a rilevare un bot noto. "Purtroppo, la mancanza di avvisi antivirus non è un indicatore di un PC pulito", afferma Nazario. "Il software antivirus semplicemente non riesce a tenere il passo con il numero di minacce: è frustrante [che] non abbiamo soluzioni significativamente migliori per l'utente domestico medio, più ampiamente distribuito".

Anche se il controllo antivirus del PC viene fuori pulito, sii vigile. Microsoft fornisce uno strumento di rimozione software dannoso gratuito. Una versione dello strumento, disponibile sia con Microsoft Update sia con Windows Update, viene aggiornata mensilmente; viene eseguito in background il secondo martedì di ogni mese e segnala a Microsoft ogni volta che trova e rimuove un'infezione. È possibile utilizzare un'altra versione dello strumento di rimozione malware, scaricabile dal sito di Microsoft, in qualsiasi momento, e si dovrebbe eseguire l'utilità se si nota un cambiamento improvviso nel comportamento del PC.

Lo strumento di rimozione software dannoso ottiene risultati. Nel settembre 2007, Microsoft ha aggiunto all'utilità la possibilità di riconoscere il bot Storm. Durante la notte la dimensione della botnet Storm è stata ridotta di ben il 20%. Da allora, Microsoft ha aggiunto altre liste di bot prevalenti all'elenco degli strumenti, come Conficker e Szribi.

Sono disponibili anche le opzioni proattive. BotHunter, un programma gratuito di SRI International, funziona con Unix, Linux, Mac OS, Windows XP e Vista. Sebbene sia progettato per reti, può funzionare anche su desktop e laptop stand-alone.

BotHunter ascolta passivamente il traffico Internet attraverso la macchina e conserva un registro degli scambi di dati che si verificano in genere quando un PC è infettato da malware. Occasionalmente, per migliorare le sue definizioni, BotHunter invia messaggi in uscita a un database SRI International di adware, spyware, virus e worm. BotHunter ha riconosciuto i modelli di scambio di dati di Conficker per la prima volta nel novembre 2008, molto prima che altri vendor della sicurezza prendessero il sopravvento.

Future Botnets

Se solo per dimostrare la loro capacità di recupero, i robot hanno recentemente invaso anche i telefoni cellulari. Trend Micro ha riferito che il malware Sexy View SMS sul sistema operativo mobile Symbian può contattare un server CnC per recuperare nuovi modelli di spam SMS.

Mentre una botnet su un telefono cellulare può sembrare diversa da quella su un PC, l'idea di noleggiare una rete di telefoni "di proprietà" potrebbe essere praticabile nel prossimo futuro. Indipendentemente dal tipo di robot, probabilmente non saremo in grado di sradicare la minaccia; possiamo solo imparare a gestire meglio le infestazioni dei bot. Ma nel frattempo, puliamo quanti più PC possiamo.